Chercheurs dans une entreprise de cybersécurité Lab52 ont découvert un nouveau malware Android avec des liens russes. Le malware est déguisé en une application Android inoffensive nommée « Process Manager ». L’application incite l’utilisateur à s’accorder jusqu’à 18 autorisations, ce qui lui permettrait d’envahir votre vie de nombreuses manières. Il peut suivre votre emplacement précis, enregistrer de l’audio à partir de votre appareil, accéder à des fichiers, lire des messages, accéder à la caméra et modifier certains paramètres de l’appareil.

L’application malveillante s’octroie les 18 autorisations suivantes :

  • Accéder à l’emplacement grossier
  • Accéder à un bel emplacement
  • Appareil photo
  • Accéder à l’état du réseau
  • Accéder à l’état Wi-Fi
  • Service de premier plan
  • l’Internet
  • Modifier les paramètres audio
  • Lire le journal des appels
  • Lire les contacts
  • Écrire un stockage externe
  • Lire le stockage externe
  • Enregistrement audio
  • Lire l’état du téléphone
  • Lire SMS
  • Réception du démarrage terminé
  • Envoyer un SMS
  • Journal de réveil

Cette application demande également un accès administrateur qui pourrait lui permettre de surveiller les tentatives de déverrouillage de l’écran, de définir l’expiration du mot de passe de verrouillage de l’écran, de modifier le verrouillage de l’écran, de définir le proxy global de l’appareil, de réinitialiser l’appareil en usine et de définir le cryptage du stockage.

Selon le rapport, l’application affiche un avertissement concernant les autorisations accordées lorsque vous l’ouvrez pour la première fois. Les captures d’écran ci-jointes suggèrent que les utilisateurs ne peuvent pas refuser les autorisations à partir de l’écran d’invite. Une fois que le logiciel malveillant a ce dont il a besoin, l’application Process Manager disparaît du tiroir de l’application et s’exécute en arrière-plan. Vous ne pouvez le voir que dans la barre de notification.

Avec l’accès à autant d’autorisations, ce logiciel malveillant a le potentiel de voler de nombreuses informations sensibles sur votre appareil. De plus, il peut également effectuer quelques autres mouvements sournois tels que l’installation d’applications à partir du Google Play Store et en abuser. Les chercheurs ont découvert que l’application tentait de télécharger une application appelée Roz Dhan : Earn Wallet Cash, qui est utilisée pour gagner de l’argent. Le malware abuse de son système de parrainage pour faire du profit.

Ce malware Android a des liens vers des pirates informatiques parrainés par l’État russe

Selon Lab52 (via Ordinateur qui bipe), l’application malveillante Process Manager utilise la même infrastructure d’hébergement partagé que le groupe de piratage parrainé par l’État russe que Turla a déjà utilisé. L’attribution à Turla n’était cependant pas possible. C’est à cause de ses capacités de menace. Si c’était le travail d’un groupe APT (menace persistante avancée) sophistiqué tel que Turla, l’application aurait essayé de rester cachée plutôt que d’afficher une notification persistante. Mais ce malware envoie toutes les informations collectées à un serveur situé en Russie.

Dans tous les cas, si vous avez cette application sur votre smartphone Android, supprimez-la immédiatement. Assurez-vous toujours que vous n’installez que des applications provenant de sources fiables.

Application de malware Android Process Manager

LEAVE A REPLY

Please enter your comment!
Please enter your name here